Компания по защите от кражи личности LifeLock допустила утечку данных клиентов

Компания по защите от кражи личности LifeLock допустила утечку данных клиентов

Простая уязвимость на сайте компании существенно облегчила задачу фишерам.

image

Принадлежащая Symantec американская компания LifeLock, предлагающая услуги по защите интернет-пользователей от кражи личности, допустила утечку данных своих клиентов. Недавно компания исправила уязвимость на своем сайте, позволявшую любому желающему с помощью браузера индексировать электронные адреса, связанные с учетными записями миллионов клиентов, а также отписывать пользователей от любой связи с компанией.

Через вышеупомянутую уязвимость злоумышленники могли собирать данные пользователей и использовать их для целенаправленного фишинга, прикрываясь брендом LifeLock. Безусловно, фишеры и так могли засыпать спамом весь мир в поисках клиентов LifeLock, но дело вовсе не в этом. Присутствие подобной уязвимости на сайте компании, уверяющей своих клиентов, что сможет защитить их от кражи личности, не может не вызывать опасений.

Уязвимость заключалась в следующем. Отображаемая в адресной строке ссылка заканчивалась текстом «subscriberkey=», после чего следовала цифра. Каждая цифра соответствовала записи пользователя, и все записи шли последовательно. Злоумышленнику не составляло труда написать простой скрипт и с его помощью получить электронные адреса всех клиентов LifeLock.

О наличии на сайте уязвимости журналисту Брайану Кребсу сообщил бывший клиент LifeLock, независимый исследователь безопасности Нэйтан Риз (Nathan Reese). Вскоре после того, как Кребс уведомил Symantec о проблеме, сайт LifeLock.com был отключен. По данным маркетинговых материалов LifeLock за январь 2017 года, компания насчитывает свыше 4,5 млн клиентов.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle